由於競爭對手 WhatsApp 因隱私問題引發爭議,基於雲端的社群平台 Telegram 在今年人氣翻紅,也成為 2021 年 1 月食全球下載量最大的應用程式,光是安裝量就超過了 6300 萬次,每月活躍用戶超過 5 億。這種受歡迎程度也延伸到網路犯罪的部分,越來越多惡意軟體創作者利用 Telegram 來做為現成的命令與控制(C & C)系統。
Telegram 成為駭客新活躍平台,研究發現數十款惡意病毒藉此傳播
早在 2017 年,Telegram 被當作 C&C 基礎系統的第一個用途就是用以竊取 Masad,而經過安全研究單位 Check Point 的探討中也歸納出了之所以利用時下流行 IM 服務作為攻擊中的一環所擁有的優勢:
- Telegram 是一種合法、容易使用且穩定的服務,不會受到企業防毒引擎或網路管理工具的阻擋
- 由於註冊過程只需輸入一個手機號碼,攻擊者可以保持匿名
- Telegram 獨特的通訊功能表是攻擊者可以輕鬆地從受害者的個人電腦中過濾數據,或將新的惡意檔案傳輸到受感染的電腦
- Telegram 還使攻擊者能夠使用其行動裝置從全球幾乎任何地點造訪受感染的電腦
在過去 3 個月裡,Check Point 已經發現超過 130 次的攻擊使用一個名為「Toxic Eye」新的多功能遠端訪問特洛伊木馬,這隻木馬透過含有惡意 .exe 的網路釣魚電子郵件傳播,由攻擊者透過 Telegram 進行管理,與攻擊者的 C&C 伺服器進行通信,並將數據傳遞給它。只要用戶打開附件,Toxic Eye 會自動安裝在用戶電腦上,並且在你毫不知情的狀況下執行一系列的漏洞利用動作,包含竊取數據、刪除或傳輸檔案、在 PC 上關閉進程、劫持電腦上的鏡頭與麥克風來錄製影片與音訊、加密檔案以要求贖金等。
Toxic Eye 的感染過程是這樣的,攻擊者首先創建 Telegram 帳號與 Telegram 機器人,Telegram 機器人帳號是一個特殊的遠端帳號,使用者可以通過聊天或將其添加到群組裡面進行互動,或透過鍵入程式的 Telegram 使用者名和查詢直接從輸入欄位發送請求。機器人被嵌入到 Toxic Eye 的 RAT 設定檔中,並且彙編成可執行檔,任何感染此惡意有效病毒的受害者都有可能遭受到 Telegram 機器人中所進行的攻擊,該機器人利用 Telegram 將用戶的設備連接到攻擊者的 C & C 上。此外,還能透過開啟網路釣魚電子郵件中顯示的惡意文件來下載和運行。
如果你想要查看完整的研究報告,可以移駕到 Check Point。這裡筆者還是要不厭其煩地提醒大家,世界上沒有任何平台、工具是絕對安全的,在使用時務必保持警覺,才能保護自己的安全。
◎資料來源:Check Point